FG: twijfel wel of geen FG in de zorg

Bij veel kleine zorgorganisaties, jeugdzorginstellingen, of praktijkverbanden waarbij meerdere zorgverleners onder een dak werken, leeft de vraag of zij een Functionaris Gegevensbescherming (FG) moeten aanstellen. Er worden immers veel bijzondere persoonsgegevens verwerkt en die verwerking is onderdeel van de kernactiviteit, namelijk het verlenen van zorg.

Het aanstellen van een FG is in de volgende gevallen verplicht:

  1. Je organisatie is een overheidsorganisatie;
  2. Je organisatie observeert regelmatig en stelselmatig en op grote schaal personen (bijvoorbeeld cameratoezicht in winkelcentra);
  3. Je organisatie verwerkt op grote schaal bijzondere persoonsgegevens of strafrechtelijke gegevens.

Met name 1 en 3 zorgen in de praktijk voor onduidelijkheid. Hieronder daarom een toelichting op beide punten:

Verplichte FG Overheidsorganisaties

De AVG laat het aan de Lidstaten om te bepalen wat een ‘overheidsorganisatie’ is. Grofweg geldt voor Nederlandse situatie dat een overheidsorganisatie een organisatie is die krachtens publiekrecht is ingesteld is en een publiekrechtelijke taak heeft. Denk hierbij aan gemeente, Belastingdienst, ministerie. Dit soort organisaties moeten een FG benoemen.

De Europese Unie erkent dat ook particuliere organisaties, zoals jeugdhulpzorgorganisaties en stichtingen, publiekrechtelijke taken kunnen uitoefenen. De persoonsgegevens worden dan ook verwerkt ten behoeve van het uitoefenen van een publiekrechtelijke taak. Betrokkene kunnen in deze situatie ook geen tot weinig keuze hebben over de wijze waarop hun persoonsgegevens verwerkt worden. In die situatie adviseert de EU om een FG te benoemen. Of dat een concreet geval ook aan de hand is, zal een organisatie zelf moeten beoordelen

Verplichte FG bij verwerken bijzondere persoonsgegevens op grote schaal

- Bijzondere persoonsgegevens

Onder de AVG zijn gegevens omtrent gezondheid bijzondere persoonsgegevens. Verwerking van deze gegevens mag alleen onder strikte voorwaarden.

- Grote schaal/grootschalig

Wanneer verwerk je nu (bijzondere) persoonsgegevens op grote schaal? Met andere woorden wat bedoelt de AVG met grootschalig? Europa heeft het begrip grootschalig toegelicht. Voor zorg kwam die uitleg neer op: ziekenhuizen altijd grootschalig, individuele huisarts niet grootschalig. Het Nederlandse zorgveld en het sociale domein kan niet goed uit de voeten met deze toelichting, omdat we in Nederland nog heel veel tussenvormen kennen. De Autoriteit Persoonsgegevens (AP) heeft voor de zorg het begrip grootschalig daarom nader toegelicht:

  • De verwerking van persoonsgegevens door ziekenhuizen, huisartsenposten en zorggroepen interpreteert de AP altijd als grootschalig;
  • Voor alle overige zorgaanbieders (NB ook voor apotheken) geldt dat zij grootschalig persoonsgegevens verwerken als:
    • die praktijk of instelling meer dan 10.000 patiënten/ cliënten heeft ingeschreven óf als die gemiddeld meer dan 10.000 patiënten/ cliënten per jaar behandelt;
    • én de gegevens van deze patiënten/ cliënten in één informatiesysteem staan.

LET OP! Het criterium van 10.000 is geen definitie maar een richtlijn. Zorgverleners moeten zelf aan de hand van de criteria uit de guidelines bepalen of zij een FG willen aanstellen. De criteria die gehanteerd worden zijn:

  1. het aantal betrokkenen;
  2. de hoeveelheid persoonsgegevens;
  3. de duur van de gegevensverwerking;
  4. de geografische reikwijdte van de verwerking
  5. het risicoprofiel van de verwerking(en).

Het bepalen van de grootschaligheid valt onder je eigen verantwoordelijkheid. Als je als verwerkingsverantwoordelijke bepaalt dat je verwerkingen niet grootschalig zijn en ervoor kiest om geen eigen FG aan te stellen, is het zaak goed op te schrijven wat je overwegingen waren, en dit op het niveau van de verwerkingsverantwoordelijke vast te leggen.

Zie ook: